Sql-Server

將埠 1433 和 1434 開放給 VPN Only 有什麼大的安全風險嗎?

  • September 30, 2021

所以我的組織正在使用 VPN 和遠端桌面 (RDP) 進行遠端辦公。由於一些內部問題,已要求我們的網路工作人員僅向 VPN 流量開放埠 1433 和 1434(SQL Server 埠),以便本地 Windows 應用程序和 SSMS 無需 RDP 即可直接訪問 SQL Server。所以這不是向公眾開放的。

我的問題是,將這些埠開放給 VPN 流量是否存在很大的安全風險?現在我們的組織正在討論這個問題。我認為這不會有很大的風險,因為黑客需要獲得 VPN 訪問權限,然後獲得 AD 憑據或服務帳戶憑據才能訪問實際的 SQL Server。我相信這兩層安全使得這種低風險不高。此外,我們最近更新了所有 AD 密碼以要求更多字元 (15)、特殊字元、數字、大寫、小寫。

當開放更多潛在的攻擊媒介時,風險總是會增加,一般來說,在這種情況下是埠。但這是 SQL Server 實例的兩個標準大多數埠,風險很低,尤其是當您將入站流量限制為僅 VPN 流量時。

如果它們沒有對任何流量開放,那麼根本無法連接到您的 SQL Server 實例,從而使其無用 - 儘管我假設您是說你們除了向 VPN 流量開放之外與伺服器本身在同一防火牆後面的任何內部流量,您可能已經意識到這一點。

無論如何,允許 VPN 流量到 SQL Server 實例的這些埠是相當標準的,我個人也是這樣做的。

引用自:https://dba.stackexchange.com/questions/300356